Форум Регулярные Выражения

Попробуй просто javascript:alert('haha') в качестве адреса дать.

[поправлено модератором]

пассивный xss должен обрабатываться, уж точно, не в процессе парса ББ-кода…
пс хотя в коде можно коечто изменить, в preg_replace, в [^"] вставить еще < и > или вообще такой выриант:

<?php  $text = 'самый простой "взлом" с помощью XSS: [url=http://softtime.ru" onclick="alert('!!!!!!!!!!!!!')][/url]'; preg_match_all('/\[url=(?<!"><)(.+?)\](.+?)\[\/url\]/', $text, $url2); for($i = 0; $i < count($url2[1]); $i++) $text = str_replace($url2[0][$i], '<a href="'.$url2[1][$i].'" >'.$url2[2][$i].'</a>', $text);

правда я непробовал его на работоспособность, но суть в том чтоб отфильттровать кавычки, знаки больше меньше с помощью какого то там негативного отрицания чтоли?

бывают. Но здесь они не проходят как раз в угоду безопасности.

Между прочим /thread666.html - ссылка абсолютная. Хотя и локальная.

....а ссылки бывают начинаются и с ftp://site.com, https://site.com, а также относительные [url]/thread666.html[/url],

потому что здесь не дадут совать в url= что-либо начинающееся не с http://

Да, у меня все htmlspecialchars'ом обрабатывается! Но если сделать [url]javascript:alert(document.cookie)[/url] то увидишь свои куки и сессию! + еще и на сниф кинуть, тогда они у тебя будут украдены...Htmlspecialchars сдесь не поможет!...Кстати сдесь на форуме защита от этого стоит

Тут явно пассивный XSS

>XSS вожможна, просто вставляеш тег между ссылками и все

Какой тег? Если html-тег, то достаточно пропустить текст через htmlspecialchars(), чтобы он стал безобиден.

уже нешел защиту, вот

$string = preg_replace('#(script|about|applet|activex|chrome):#isU', "\\1:",$string);

XSS вожможна, просто вставляеш тег между ссылками и все

А как через них XSS возможна?